ホームページ バックエンド開発 PHPチュートリアル PHP開発における保険予防の知識

PHP開発における保険予防の知識

Jun 13, 2016 pm 01:06 PM
html php quot

PHP 開発におけるセキュリティ防止の知識
PHP コード セキュリティ、XSS、SQL インジェクションなどは、さまざまな Web サイト、特に UGC (User Generated Content) Web サイト、フォーラム、電子商取引 Web サイトのセキュリティに非常に役立ちます。多くの場合、XSS は SQL インジェクションの最も大きな打撃を受ける領域です。ここでは、システム セキュリティと比較して、PHP セキュリティ防止では、ユーザーが入力するさまざまなパラメータについてより注意する必要があります。

PHP コンパイル時のセキュリティ

Suhosin パッチのインストールを推奨し、セキュリティ パッチもインストールする必要があります

php.ini セキュリティ設定

Register_global = オフ

magic_quotes_gpc = オフ

display_error = オフ

log_error = オン

#allow_url_fopen = オフ

expose_php = オフ

open_basedir =

セーフモード = オン

disable_function = exec,system,passthru,shell_exec,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,popen,show_source,get_cfg_var

safe_mode_include_dir =

DB SQL 前処理

mysql_real_escape_string (多くの PHPer は SQL インジェクションを防ぐために依然として addslashes に依存していますが、この方法は中国語のエンコードでは依然として問題があります。addslashes の問題は、ハッカーが一重引用符の代わりに 0xbf27 を使用できることです。0xbf27 は GBK エンコードでは有効な文字ではないため、addslashesこれは、0xbf5c27 を有効なマルチバイト文字にするだけです。この場合、0xbf5c は依然として一重引用符とみなされます (詳細については、この記事を参照してください)。 mysql_real_escape_string 関数を使用する場合は、正しい文字セットを指定する必要もあります。指定しないと、依然として問題が発生する可能性があります。

準備 + 実行(PDO)

ZendFramework は、mysql
のみに使用できる mysql_real_escape_string とは異なり、DB クラスの quote または quoteInto を使用できます。
ユーザー入力の処理

HTML タグを保持する必要がない場合は、次のメソッドを使用できます

ストリップタグ、文字列
内のすべての HTML タグを削除します
htmlspecialchars、文字「<」、「>」、「;」、「'」
のみをエスケープします
htmlentities、すべての HTML をエスケープ

HTML タグを保持する必要がある場合は、次のツールを検討できます:

HTML Purifier: HTML Purifier は、PHP で書かれた標準準拠の HTML フィルター ライブラリです。

PHP HTML Sanitizer: HTML コードから安全でないタグと属性を削除します

htmllawed: HTML を浄化およびフィルタリングするための PHP コード

ファイルをアップロード

is_uploaded_file 関数と move_uploaded_file 関数を使用し、HTTP_POST_FILES[] 配列を使用します。また、アップロード ディレクトリの PHP 解釈機能を削除することで、ユーザーが PHP スクリプトをアップロードできないようにします。

ZF フレームワークでは、File_upload モジュール
の使用を検討できます。
セッション、Cookie、フォームのセキュリティ処理

重要な情報は、送信する前に暗号化する必要があります。たとえば、送信するフォーム要素は次のとおりです。


<input type="hidden" name="H[name]" value="<?php echo $Oname?>"/><input type="hidden" name="H[age]" value ="<?php echo $Oage?>"/> <?php $sign = md5('name'.$Oname.'age'.$Oage.$secret) ?<入力タイプ="hidden" name="hash" value="<?php echo $sign?>"" />

POST から戻った後にパラメータを確認します

$str = "";

foreach($_POST['H'] as $key=>$value) {

$str .= $key.$value;

}

if($_POST['hash'] != md5($str.$secret)) {

echo "非表示のフォームデータが変更されました";

}

PHP セキュリティ検出ツール (XSS および SQL 挿入)

Wapiti - Webアプリケーションセキュリティ監査(Wapiti - コンパクトサイト脆弱性検出ツール) (SQLインジェクション/XSS攻撃検出ツール)

アン・ヤン/使い方:

apt-get install libtidy-0.99-0 python-ctypes python-utidylib

python wapiti.py http://あなたのウェブサイトのURL/ -m GET_XSS

Pixy: PHP 用 XSS および SQLI スキャナー (Pixy - PHP ソース コード欠陥分析ツール)

アン・ヤン: apt-get install default-jdk

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットな記事タグ

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド Dec 24, 2024 pm 04:42 PM

Ubuntu および Debian 用の PHP 8.4 インストールおよびアップグレード ガイド

CakePHP プロジェクトの構成 CakePHP プロジェクトの構成 Sep 10, 2024 pm 05:25 PM

CakePHP プロジェクトの構成

CakePHP の日付と時刻 CakePHP の日付と時刻 Sep 10, 2024 pm 05:27 PM

CakePHP の日付と時刻

CakePHP ファイルのアップロード CakePHP ファイルのアップロード Sep 10, 2024 pm 05:27 PM

CakePHP ファイルのアップロード

CakePHP ルーティング CakePHP ルーティング Sep 10, 2024 pm 05:25 PM

CakePHP ルーティング

CakePHP について話し合う CakePHP について話し合う Sep 10, 2024 pm 05:28 PM

CakePHP について話し合う

HTML テーブルのレイアウト HTML テーブルのレイアウト Sep 04, 2024 pm 04:54 PM

HTML テーブルのレイアウト

PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法 PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法 Dec 20, 2024 am 11:31 AM

PHP 開発用に Visual Studio Code (VS Code) をセットアップする方法

See all articles